Guadagno di privilegi per Linux

Sulla mailing list full disclosure è stato pubblicato il sorgente di un programma di Dan Rosenberg che permette il guadagno di privilegi per un utente locale di Linux fino alla versione 2.6.37 inclusa.

Il programma sfrutta tre diverse vulnerabilità note del kernel, che vengono utilizzate per guadagnare i privilegi di root.

Benché sia una vulnerabilità sfruttabile solo localmente, un programma del genere potrebbe essere caricato su un server di cui si è guadagnato il controllo attraverso un sito con bachi o vulnerabilità.

Aggiornamento del 8/12/2010 17:25: Marcus Meissner sulla lista bugtraq propone un sistema temporaneo per evitare il guadagno di privilegi. Dando il comando

echo 1 > /proc/sys/kernel/panic_on_oops

si forza il kernel ad andare in panico se qualcuno tenta di sfruttare la vulnerabilità.


Pubblicato

in

,

da

Tag:

Commenti

2 risposte a “Guadagno di privilegi per Linux”

  1. Avatar Fabrizio Vettore

    Non va su CENTOS nonostante la 2.6.18 di serie.
    Ciao

    1. Avatar Luigi Rosa

      Probabilmente una delle tre vulnerabilita’ e’ stata sistemata nella versione del cosiddetto “upstream”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *